По всей вероятности обнаружен новый вирус для системы клиент-банка iBank2.
Был зафиксирован несанкционированный перевод денежных средств на частное лицо,
с инфицированной рабочей станции мошеннический платеж не отображается в списке платежных поручений и выписке.
При работе с другой рабочей станции - отображается.
Все симптомы аналогичны описанным в пресс-релизе компании Bifit, за исключением того, что:
1. В данный момент вирус не обнаруживается антивирусными пакетами: Microsoft Essential Security, Антивирус Касперского 2012, Dr.Web, Avira Antivir Premium.
2. В системе установлена Java-машина версии 6.27.
3. Вирус "подчищает" историю посещения клиент-банка в браузере Firefox.
По всей вероятности, вирус интегрируется в Java-машину или перехватывает ее запросы даже при использовании ЭЦП в виде USB-токена.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\WINDOWS\system32\in_32.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Скрипт выполнил, компьютер перезагрузился. Не помогло: в клиент-банке все без изменений - платежка скрыта.
Проверил еще раз с помощью MBAM - ко всему предыдущему списку еще добавился только что созданный карантин AVZ.
Удалил с помощью MBAM указанные строки и еще строку "c:\WINDOWS\system32\in_32.dll (Trojan.Agent)", перезагрузился.
Симптомы пропали - платежка появилась, лог MBAM чист. Запрошенный карантин отправил.
Сам выделенный из системы файл in_32.dll распознался Антивирусом Касперского как Backdoor.Win32.Sinowal.orf.
Но на сайте "Лаборатории Касперского" модификация вируса ".orf" отсутствует.
Есть ли необходимость мне куда либо отправить карантин с вирусом для включения его в антивирусные базы?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: